スポンサーリンク
アンソロピックのMythosが話題だ。最近はUS外への提供が禁止されたが、これを悪用されるとどんなシステムでもセキュアに運用できる気がしない。
AIによりねっとりと脆弱性を調べられちゃうと人間の対応では間に合わないのだ。
有名なOSSがMythosでコード分析をされ、脆弱性がたくさん発見されたという記事があった。自分の仕事でも趣味でも今後のプログラミングはAIによる分析をしないと無理かなと思わされた。
IT業界に関するニュースのまとめはこちら。
Linuxに結構前からある、コマンドラインでHTTPリクエストを贈ることができるツールだ。お菓子と同じカールではなく、c+urlが命名された理由っぽい。
このツール、WEBサーバへのアクセス試験の際にも結構使う、重宝するツールなのだが、作者が機会を得てMythosでコード解析したそうだ。
curl Mythosでコード解析 2606 出典:@IT
curlプロジェクトでは、Mythos以前から複数の高機能なAI支援ツールでコード分析を実施してきた。AIコード分析ツール「AISLE」「Zeropath」「OpenAI Codex Security」を利用しており、これらの分析結果に基づいて、過去8~10カ月で200~300件のバグ修正がcurlにマージされた。確認された脆弱性も多数あり、CVE(共通脆弱性識別子)として公開されたものは十数件に及ぶ。
Mythosの前にすでにAIによる解析で、200件以上のバグが修正されたそうだ。
テンバーグ氏によると、Mythosによる初回スキャンの結果を受け取ったのは、2026年5月6日のこと。スキャンはcurlのgitリポジトリのマスターブランチを対象に実行され、src/およびlib/サブディレクトリの17万8000行のコードを分析した。
Mythosは「確認済みのセキュリティ脆弱性」として5件を報告した。レポート冒頭には次のような注記があったという。
「curlは現存する中で最もファジング(Fuzzing)テストと監査を受けたC言語コードベースの一つであり、HTTP/1、TLS、URL解析コア(中核処理)といった重点的にテストされている領域から何か見つかる可能性は低い」
残っているバグが5件ということで、1件がバグ、4件は誤認のようだ。
最初に解析したAIでは見つけられなかったから、Mythosが評判通りすごいのかな。
作者が解析結果を踏まえたコメントを書いている。
ステンバーグ氏は、Mythosを巡る話題はマーケティング先行の側面が強いと結論付ける。「他のAIツールがこれまで見つけてきたものと比べて、Mythosが特に高度な、あるいは特殊な問題を見つけているという証拠はない」「少し優れているかもしれないが、コード分析に大きな変化をもたらすほどの差ではない」と評価している。
作者はcurlについては、Mythosは大変優秀な解析ツール、というわけではないという。ちょっとは優秀かもしれないが、まだ潜在するかもしれないバグを大量に見つけてくれるほどではない、ということか。
一方でステンバーグ氏は、AI搭載のコード分析ツールが従来の静的解析ツールより本質的に優れている点も改めて強調する。「最新のAIモデルはコード分析にたけている。時間と実験する気があれば、誰でもセキュリティ問題を発見できる」と述べ、AIツールを導入していないプロジェクトは、攻撃者に「自分たちが見つけられなかった脆弱性」を発見し、悪用(エクスプロイト)する時間と機会を与えてしまっていることになると警鐘を鳴らしている。
AIツールでコード解析しないと、攻撃者にアドバンテージがあり、やりたい放題にやられてしまう。
作者は以下の点をメリットとして挙げている。
最後に作者はこう締めくくっている。
「AIは新しい欠陥カテゴリーを発見できているわけではない。だが、従来のツールより多くの既知パターンの問題を発掘できているのは事実だ」
新種の脆弱性を発掘できるツールが出てくるのはいつになるのだろう。そしてそれが現れたら、人間がコード生成だけでなく修正もAIがやるようになったら、人間のプログラマは絶滅危惧種になってしまうな。
PR
" >
